悬镜 DevSecOps 智适应威胁管理解决方案

0引言现在越来越多的企业重视开发安全工作，也开始建立了相应的SDL（安全开发生命周期）流程及体系，但应用系统上线后安全漏洞却依然频繁出现。经过大量的SDL服务项目实践和深入思考分析，将原因归纳为以下几点:企业缺乏合理的开发安全质量考核,企业员工安全能力和安全经验不足,流程表单工具缺乏或不够完善,企业未能形成SDL管理流程的闭环,敏捷开发模式下SDL体系难以应用。为解决传统SDL解决方案的痛点，悬镜DevSecOps智适应威胁管理解决方案应运而生。1DevSecOps简介1.1

SDL

与DevSecOps

的异同在理念上SDL与DevSecOps相同，都是将安全前置，覆盖到软件开发的各个阶段[1]。但SDL与DevSecOps所覆盖的阶段不同，存在重合点，SDL更加前置从需求开始，DevSecOps则延伸到运维部分，流程如图1所示。在落地实践方面，两者差别更大：SDL依靠人工+安全产品配合，甚至可以完全丢弃安全产品；而DevSecOps更依赖安全工具，要求安全产品能够集成CI/CD平台，集成DevOps工具链中的开发运维工具，符合DevSecOps一体化的概念。1.2DevOps

与DevSecOps如果说DevOps促进的是开发和运营流程的自动化与协作，那么DevSecOps则解决的是安全与开发团队之间的历史遗留问题，使开发、安全与运营不再相互分割独立[3]。DevSecOps整个流程中所有工作人员都对软件的安全负责，目标是在不以牺牲安全性为代价的情况下，用最快的速度和规模将安全策略分配至每个流程中的关键人员加以执行。图1DevSecOps流程（图源：Gartner）1.3

适合DevSecOps

的安全产品传统的安全产品在DevSecOps中往往水土不服，那么适合DevSecOps的产品必须满足哪些特性呢？我们给出以下建议：（1）便于与CI/CD工具链集成（2）专业程度低（3）尽可能减少误报（4）安全检测时间尽可能短（5）安全检测透明化（6）

漏洞信息可集成到开放测试人员常用平台（7）

尽可能提供自动化完成安全检查和结果展示接口（8）

安全产品可开放所有功能API2方案概况结合多年的开发安全实践经验，悬镜安全探索出了一套基于原创专利级“工具+平台+服务”的悬镜DevSecOps智适应威胁管理解决方案，如图2所示，它从构筑之初就注重技术落地的柔和低侵入性，从驱动DevSecOpsCI/CD管道持续运转的几大关键实践点入手，通过对威胁建模、风险发现、威胁模拟及检测响应等关键技术创新赋能政企组织现有人员，帮助企事业单位建立起更加高效完善的安全开发和安全运营体系，并根据各流程频现的漏洞类型、研发人员知识盲区等再次提供针对性培训，最终针对性制定规章制度，实现制度精准逆推落地。图2悬镜DevSecOps智适应威胁管理体系3创新设计3.1风险管理闭环为了实现规模化、体系化、自动化地解决安全问题的目标，悬镜DevSecOps智适应威胁管理解决方案创新地基于独创的风险管理闭环设计理念，风险管理闭环包含的活动如图3所示。图3风险管理闭环3.2定义安全策略定义的安全策略充当安全团队和研发团队之间的协议，双方都应完全明确在安全方面对他们的期望。此策略还可作为指导，指导应用程序安全测试的结果首先修复哪些漏洞。定义安全策略与DevSecOps紧密相关，这些策略对于衡量DevSecOps的总体成功度至关重要。3.3自动化和集成企业组织在这里将安全测试解决方案集成到构建和开发环境中，以确保安全测试过程完全自动化。没有自动化，企业就无法实现高效率。每个企业组织都可以选择希望实现自动化的程度，因为安全保障应该结合实际的使用场景和企业本身资源储备，通过个性化的方式和形式来实现。但最终企业组织需要确保以某种固定的流程来检测应用程序。最好的方法是在构建环境和开发环境中自动执行扫描。3.4识别漏洞一旦完成了前面描述的自动化和集成安全测试的活动，下个步骤就是执行具体的应用安全测试。我们可以用自动化的方式使用IAST、SCA和PTE，这些测试方法能够检测软件应用程序中的各种漏洞。关键是在不减慢软件应用程序的开发、交付和部署的前提下，尽早发现可能导致漏洞的编码错误，确保有效地保障应用开发的敏捷性。3.5关联结果相关性背后的思想是提高应用安全测试在发现高危漏洞方面的可信度和优先级，尤其是能够将来自不同安全测试的相同发现关联起来时。例如，如果DAST在黑盒测试期间发现了一个SQL注入漏洞，并且IAST在交互式测试期间确认了相同的发现，那么如果您能够将这两个发现关联起来，可信度会更高。当组织有多个应用程序，并且他们的应用安全测试检测到数千个潜在的漏洞时，如果组织能够将数据进行关联，就能更好地确定修复工作的优先级，将有限的漏洞修复精力投入在最严重、影响最广泛的漏洞上。3.6修复漏洞没有开发人员能够处理成千上万个所发现的漏洞。需要确保以一种开发人员能够消化它们的方式对所有这些漏洞进行优先排序。开发人员需要能够专注于最重要的内容，并首先致力于修复风险最大的漏洞。如果开发人员收到关于如何修复某个漏洞的修复建议，并获取到具体的修复位置，则可以使他们能够快速高效地修复漏洞并让修复数量最大化。基于第一步（定义安全策略）中规定的策略，团队知道需要修复什么，下一个问题就是如何修复。对此，安全培训可以提供很大的帮助。安全培训可以将安全能力从工具固化到人本身的认知上。3.7管理和监控管理和监控是组织跟踪其应用程序安全计划的关键性能指标（KPI）的地方。这使组织能够看到，随着时间的推移，漏洞的数量是否在减少，引入新漏洞的比率是否在降低，严重漏洞的比率是否也在降低。组织使用各种各样的KPI来查看其安全计划是否有效。尽可能自动化地进行KPI监控、跟踪和报告有助于企业的安全团队和研发团队更好地获得全局信息。4自动化工具图4各阶段安全工具应用4.1需求和架构阶段各阶段安全工具应用如图4所示。本阶段进行威胁建模（TM），通过威胁建模针对性提出安全方案，用于后续研发等环节的解决或规避。对开发人员进行安全编码培训，悬镜提供从框架流程到编码细节的应用系统开发各个阶段的安全开发全流程落地安全培训服务，帮助应用系统开发流程中的各个角色人员具备安全开发全流程中的安全意识，了解DevSecOps的实施方法，使得相关人员掌握DevSecOps流程理念和DevSecOps落地能力，帮助DevSecOps体系在企业研发流程中的顺利落地。4.2软件编码阶段进行静态应用安全测试（SAST），开源组件检测（OSS），软件成分分析（SCA）。通过阶梯式检测方案，在研发不同阶段介入最为合适的检测方式和最优检测规则，确保在每个流程上都只检出真实漏洞。所有需要确认的漏洞，交由IAST过程使用真实漏洞攻击代码进行检测，确保更为有效的真实漏洞检出概率并降低误报导致的人工分析成本和落地阻力。4.3软件测试阶段交互式安全测试（IAST），IAST通过获取功能测试人员测试交互流量，并以此取代DAST的自行构造模式。基于模糊测试（fuzz）思想对流量进行攻击代码随机插入和攻击流量构建，自动化对被测程序进行安全测试，并在测试过程中借助插桩监控平台对被测程序的运行轨迹进行实时跟踪和介入。一旦攻击流量触发安全问题，插桩平台不仅可以第一时间捕获安全问题，还能够精确定位到漏洞所在的代码文件、行数、函数及参数。通过这种方式，交互式应用安全测试既能保证检出漏洞的有效性，有效降低误报，还能够精准定位漏洞，帮助研发人员更好进行漏洞修复和回归，有效提升测试过程安全检测能力。通过IAST的新型测试模式，其还可以覆盖更多传统DAST无法触及的安全范畴，包括逻辑类漏洞检测自动化、双向加密数据获取等，实现更为良好的安全检测能力。4.4上线迭代阶段进行动态应用安全测试（DAST），自动化渗透测试（Automated-PT）,运行时应用自保护（RASP），终端检测与响应（EDR）。常态化安全运营、风险管理（RM）贯穿所有阶段，对项目上线后所在的服务器资产、中间件以及项目本身进行7*24小时周期性安全检查，相当于有一个安全团队或渗透测试工程师全天候管理线上资产、站点以及中间依赖的安全问题，有效确保安全健康性。4.5平台部分悬镜DevSecOps智适应威胁管理解决方案可通过统一平台，将上述各流程的介入工具检测结果进行统一展示和操作，方便用户闭环安全问题、发现高频安全盲区以及进行安全量化统计等。夫子（Xfuse）

作为悬镜DevSecOps智适应威胁管理体系的全流程管理平台，不仅聚焦开发早期需求分析、架构设计阶段的威胁建模，还重点解决当下软件应用漏洞管理中普遍存在的漏洞发现能力孤立、漏洞管理难闭环、开发流程难管控等核心痛点问题。它的核心定位就是从开发源头开始将专家团队的安全能力持续赋能给传统IT项目人员，使安全思想注入DevSecOps全生命周期，帮助企业组织流程化、自动化、持续化地保障业务安全。5保障服务5.1普及性赋能DevSecOps建设前期为各研发环节人员进行普及性安全知识赋能，培养各环节技术人员相关安全意识，并使其了解其安全职责，为后续向其提供工具落地其赋能知识提供理念基础。5.2

针对性赋能DevSecOps建设后期根据SAST、IAST等环节经常出现的漏洞类型、研发人员知识盲区进行针对性赋能培训，最终还可根据上述数据针对性制定规章制度，实现制度的针对性逆推落地。5.3常态化安全咨询在DevSecOps建设各环节，悬镜DevSecOps智适应威胁管理解决方案均向客户提供保姆式常态化安全咨询，有效协助分析和解决DevSecOps落地难点，并实现对不同行业线的安全痛点的针对性建议和定制化DevSecOps建设方案规划。5.4安全驻场服务悬镜DevSecOps智适应威胁管理解决方案可提供陪伴式安全驻场，通过派遣专业安全人员进驻客户一线研发团队，帮助客户解决研发安全落地过程中的技术、流程困境，协助解决研发安全落地痛点，并提供有效行为措施和数字材料。6落到案例某国有银行建设前采用传统SDL研发模式，安全工作独立于研发体系，无法融合于研发过程，导致效果差、效率低下，如图5所示。质量反馈体系不包含安全内容，安全质量无法持续改进。建设后采用悬镜DevSecOps智适应威胁管理解决方案，安全工作与DevOps流程无缝结合，深度整合在研发过程的每一个环节当中，侵入感低、效果好、效率高，如图6所示。安全漏洞与BUG一同成为质量反馈常规内容的一部分，安全质量持续改进。图5某国有银行传统SDL